中國情報(bào)機(jī)構(gòu)在美國科技企業(yè)植入“惡意芯片”

不久前，彭博社報(bào)道包括蘋果、亞馬遜等近30家美國科技企業(yè)，都被中國情報(bào)機(jī)構(gòu)植入了一種微型“惡意芯片”。如此一來，中方就能不費(fèi)吹灰之力，秘密訪問這些企業(yè)的內(nèi)網(wǎng)。隨后，蘋果、亞馬遜等當(dāng)事公司，接連否認(rèn)彭博社有關(guān)芯片受到惡意篡改的報(bào)道。

語不驚人死不休，9日彭博社又發(fā)了后續(xù)報(bào)道，更加夸張，稱找到了中國參與這樁黑客事件的新證據(jù)。

一位前以色列軍情機(jī)構(gòu)技術(shù)人員稱，他現(xiàn)在任職的公司專注于硬件安全，并受雇檢查電信公司的幾個(gè)大型數(shù)據(jù)中心，他曾探查服務(wù)器產(chǎn)生不正常的流量，檢查服務(wù)器硬件后發(fā)現(xiàn)，該電信運(yùn)營商使用的超微主板網(wǎng)線接口里有異常植入物，這批網(wǎng)線接口特別使用了金屬外殼用于散熱。他認(rèn)為盡管這類網(wǎng)線的確依賴金屬部件散熱，但接口的位置通常是塑料而非金屬。

裝了金屬頭的網(wǎng)線接口就是芯片攻擊的新證據(jù)？對此，本文簡單做一些分析。

此前，已經(jīng)有國內(nèi)媒體援引一位負(fù)責(zé)中國移動省級網(wǎng)絡(luò)服務(wù)器運(yùn)維的管理人員的話：

首先彭博的報(bào)道缺乏實(shí)物證據(jù)，尤其是芯片實(shí)物，按它的說法量非常大，弄個(gè)芯片做分析更直接了當(dāng)；

第二，網(wǎng)線沒有任何途徑可以得知它所鏈接的主機(jī)是否有價(jià)值，而現(xiàn)在流行的 https 讓這種網(wǎng)絡(luò)嗅探式的侵入毫無價(jià)值；

第三，彭博的記者毫無企業(yè)級安全的概念，企業(yè)級網(wǎng)絡(luò)的安全管控到端口，網(wǎng)線沒有這個(gè)能力繞過多重網(wǎng)絡(luò)安全設(shè)施。

雖然外交部早就說了，對這些美國企業(yè)自己都否認(rèn)的指控，根本沒必要回應(yīng)了。但這是一個(gè)信息安全科普的好機(jī)會，我也咨詢了一些專家，做點(diǎn)補(bǔ)充。

由于描述不清楚，所謂網(wǎng)線采用金屬接口，不知是否是指網(wǎng)線的接頭是金屬接頭。假如是的話，采用這類接頭的網(wǎng)線都是中高檔的網(wǎng)線，其實(shí)不是為了扇熱，而是減少網(wǎng)線連接端的信號串?dāng)_。

通常在網(wǎng)線連接接口部位因?yàn)閷儆诓痪o密連接方式，金屬連接部位電阻容抗都會有變化，很容易形成一些微小的信號震蕩，金屬屏蔽能夠減少這些震蕩信號對主板和網(wǎng)線間的信號串?dāng)_。

一位專家告訴我，他原來在的IBM公司服務(wù)器也都是采用這些帶金屬屏蔽的網(wǎng)線，服務(wù)器因?yàn)榻泳€特別多，微小的信號串?dāng)_可能產(chǎn)生疊加，所以一定要這類帶金屬屏蔽的線，這類網(wǎng)線價(jià)錢比較貴。而一般我們見到的網(wǎng)線插頭都是塑料的，反正自己用，也只有一根線，串?dāng)_信號不大，不會對主板信號造成什么嚴(yán)重的干擾，便宜貨能用就行，跟服務(wù)器使用場合不一樣。

另一位專家也講了幾點(diǎn)，有助于大家認(rèn)清，信道安全并不是最需要擔(dān)心的地方：

1）從網(wǎng)線接口處截取信息流要比在互聯(lián)網(wǎng)任何其它地點(diǎn)更方便有效。但是任何敏感信息進(jìn)出網(wǎng)線接口都是經(jīng)過對稱加密后的密文，只要沒有密鑰，截取這些密文毫無意義。

2）現(xiàn)代密碼系統(tǒng)可以充分地保護(hù)信道安全，現(xiàn)在大多數(shù)信息安全問題都出在信源上。網(wǎng)線接口上做手腳只能攻擊信道安全，基本上不會有什么效果的。

3）目前黑客攻擊都是利用計(jì)算機(jī)操作系統(tǒng)或內(nèi)部硬件的漏洞，直接盜取存在計(jì)算機(jī)內(nèi)部的明文或者盜取密鑰。

4）計(jì)算機(jī)安全的主要隱患在軟件方面（包括操作系統(tǒng)和應(yīng)用軟件），硬件方面從來不是主戰(zhàn)場。

5）在大眾媒體上報(bào)導(dǎo)這些似是而非的黑客攻擊用心十分險(xiǎn)惡。因?yàn)橐C明這類攻擊無效或不存在是十分困難的。這是信息安全領(lǐng)域的典型的“witch hunt”。它的間接效果可能是為真正的黑客攻擊作掩護(hù)。

至于彭博社為啥也會出錯(cuò)，且不論其是否用心險(xiǎn)惡，彭博上一篇報(bào)道中為數(shù)不多的實(shí)名證人之一，被彭博的記者咨詢的安全專家喬·菲茨帕特里克也分析了原因：一個(gè)低級別的軟件或硬件問題經(jīng)歷了硬件技術(shù)人員 —— 軟件技術(shù)人員 —— 高管 —— 彭博記者這樣一種傳達(dá)路徑，環(huán)環(huán)相扣，其中一個(gè)分析或者判斷出現(xiàn)理解偏差，就會導(dǎo)致最后的成稿出現(xiàn)事實(shí)和邏輯錯(cuò)誤。

用外交部的話說，懟彭博社已經(jīng)意思不大，或許不必認(rèn)真理會。但是這樣權(quán)威的大機(jī)構(gòu)，尚且報(bào)道出現(xiàn)偏差，反觀國內(nèi)媒體也經(jīng)常在科普上犯錯(cuò)誤，原因則有共通的地方也有不同的地方。信息安全問題一直云山霧罩，產(chǎn)業(yè)鏈上真真假假的消息讓公眾很難辨別，而一些專家出于利益是并不愿意向公眾透露真相的。

總結(jié)一下，“通過網(wǎng)線接口黑客攻擊”是無法實(shí)現(xiàn)的，信道安全是有充分保障的。傳統(tǒng)密碼就能保證信息從A傳輸?shù)紹之間有充分的安全。

但是整個(gè)信息系統(tǒng)的安全還涉及許多其它因素，例如解密后數(shù)據(jù)的保管和存放、密鑰的更新和保護(hù)等等環(huán)節(jié)，密碼本身是無法保證整個(gè)信息系統(tǒng)安全的。

只要是使用桌上電腦和手機(jī)，黑客就可以利用它們里面微處理器中的“熔斷和幽靈”漏洞竊取秘密，不管是傳統(tǒng)密碼還是量子通信，全都沒有用。而考慮到“熔斷和幽靈”漏洞來自英特爾的CPU，美國實(shí)在是有些賊喊捉賊了。